Règlement général de protection des données Le cloud act voté par le Congrès : Une nouvelle ingérence numérique américaine (us)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles



Eu flag.png
Us flag.png

Anne-Charlotte ANDRIEUX, Cabinet HAAS Avocats
Juin 2018


Le procès Microsoft audiencé par la Cour Suprême américaine en février 2018, et dernier épisode d’une bataille judiciaire opposant le géant de la tech au département de la justice américaine depuis plus de 5 ans [1], révélait la difficulté pour la justice américaine de faire valoir un mandat de perquisition envers des données stockées sur le territoire européen, en l’occurrence en Irlande.


Le Cloud Act (Clarifying Lawful Overseas Use of Data Act) intégré au projet de loi sur le budget fédéral (Consolidated Appropriations Act for 2018) a été adopté par le Congrès américain sans examen spécifique, sous la pression politique de la Maison Blanche, puis promulgué le 23 mars 2018.


Si la nouvelle législation américaine a reçu un accueil favorable par les géants du web en venant solutionner les conflits de territorialité auxquels ils se trouvaient confrontés, force est de constater une nouvelle tentative d’ingérence numérique américaine en contradiction avec les dispositions du nouveau Règlement Général sur la Protection des Données (RGPD) [1], entré en application le 25 mai 2018.


La consécration de l’ingérence numérique américaine

Depuis 1986, le Stored Communication Act américain régissait les transferts de données, mais n’envisageait pas la communication de données stockées en dehors de frontières nationales, laissant place à un vide juridique notamment dénoncé par les GAFAM (Google, Apple, Facebook, Amazon, Microsoft) dans une lettre commune en date du 6 février 2018 [2]


Jusqu’à présent les échanges extraterritoriaux d’information trouvaient leur fondement dans les MLAT (Mutual Legal Assistant Treaty), en français dans le texte, les accords mutuels d’assistance juridique. Ces traités négociés au cas par cas par les gouvernements n’avaient néanmoins pas été ratifiés par le Sénat américain.


Dans les Etats ayant conclu de tels accords, les autorités peuvent requérir la communication de données stockées sur un territoire étranger et ce après validation de la requête par un juge.


La nouvelle loi américaine a pour objet de redéfinir les règles de communication des données personnelles à destination des Etats-Unis dans le cadre des enquêtes criminelles diligentées par la justice américaine.


Le Cloud Act ouvre la possibilité aux Etats Unis de requérir d’office l’accès aux données des européens stockées sur le territoire d’un des Etats membre de l’Union, sans même l’accord préalable de l’autorité judiciaire, dès lors que ces données sont hébergées par les cloud providers américains.


Notons alors, que peu avant le vote du Cloud Act, l’American Civil Liberties Union [2] (ACLU) faisait part de ses inquiétudes face à des accords qui seraient uniquement diligentés de manière bilatérale par les forces exécutives des Etats à l’exclusion du pouvoir judiciaire.


Cette nouvelle intrusion en contradiction avec la règlementation de l’Union constitue sans nulle doute une nouvelle atteinte à la souveraineté européenne en matière de données.


En effet, la justice américaine pourra désormais requérir directement la transmission de données aux entreprises américaines sans même avoir à solliciter l’accord de la justice de l’Etat européen concerné.


Seule maigre garantie, le Congrès américain pourra manifester son opposition à tout accord de transfert de données pendant une période de 90 jours via une résolution jointe de la Chambre des représentants et du Sénat.


Soulagés de reporter la responsabilité de tels accès sur l’Etat américain les GAFAM ont approuvé en bloc la nouvelle règlementation.


La contradiction avec les dispositions du RGPD

Les articles 44 et suivants du RGPD portent sur les transferts de données à caractère personnel vers des pays tiers à l’Union européenne ou à des organisations internationales.


Notons alors que l’article 48 du même Règlement entre directement en contradiction directe avec le nouveau texte américain en disposant que « Toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international […] ».


Il est également à déplorer que le signalement de la contradiction d’une requête avec les dispositions du Règlement repose exclusivement sur des entreprises privées.


En effet, le texte américain accorde un délai de 14 jours à tout fournisseur de service américain pour signaler un risque de conflit juridique entre la requête et les dispositions protectrices des données personnelles dans l’Etat concerné.


C’est uniquement dans ce cas qu’un tribunal examinera la procédure et pourra modifier ou annuler la requête.


Le tribunal de l’Etat concerné n’aura néanmoins pas le droit de cité dans l’hypothèse où la requête concernerait les données d’un citoyen américain ou d’un individu résidant aux Etats Unis.


Références